Seguridad de spoo.me

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de scripts maliciosos y ataques de inyección de código (XSS).

[HIGH] X-Frame-Options: El sitio permite ser cargado dentro de frames, lo que facilita ataques de secuestro de clics o clickjacking.

[HIGH] Strict-Transport-Security: No se fuerza el uso de conexiones seguras mediante HSTS, permitiendo ataques de degradación de protocolo.

[HIGH] Cookie PHPSESSID - Secure: La falta del flag Secure permite que la cookie de sesión se transmita a través de conexiones HTTP no cifradas.

[MEDIUM] X-Content-Type-Options: La falta de esta directiva permite que el navegador realice sniffing de tipos MIME, facilitando la ejecución de archivos maliciosos.

[MEDIUM] Referrer-Policy: No se controla la información de referencia enviada a otros dominios, lo que podría exponer rutas internas sensibles.

[MEDIUM] Permissions-Policy: No se restringen las capacidades del navegador como el acceso a la cámara o micrófono, aumentando la superficie de ataque.

[MEDIUM] Cookie PHPSESSID - SameSite: La ausencia de este atributo hace que las sesiones de los usuarios sean vulnerables a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Puerto 8080 (HTTP-Alt): Se detectó un puerto alternativo abierto que podría exponer servicios administrativos o proxies no protegidos.

[LOW] Server header expuesto: El servidor revela que utiliza tecnología Apache, ayudando a un atacante a identificar vulnerabilidades específicas de la versión.

[LOW] X-Powered-By expuesto: El sitio informa explícitamente el uso de PHP/8.1.33, lo cual facilita el reconocimiento de la infraestructura técnica.